Wirus Lovgate
Firma Kaspersky Lab informuje o kolejnym wirusie. Lovgate.ad. Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail, przy użyciu udostępnionych zasobów sieciowych oraz za pośrednictwem systemów P2P. Szkodnik wykorzystuje także lukę w zabezpieczeniach systemów Windows (z ubieglorocznego biuletynu MS MS 03-026).
Robak ma postać pliku PE EXE o rozmiarze około 143 KB (kompresja ASPack, rozmiar po rozpakowaniu - około 255 KB). Szkodnik wyposażony jest w procedurę backdoor.
Po uruchomieniu robak kopiuje się do następujących folderów:
C:\COMMAND.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\kernel66.dll
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%Windir%\SYSTRA.EXE
Składniki backdoora umieszczane są w następujących folderach (program Kaspersky Anti-Virus wykrywa te składniki jako robaka I-Worm.Lovgate.w):
%System%\LMMIB20.DLL
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\ODBC16.dll
Szkodnik umieszcza w folderach głównych wszystkich dostępnych dysków plik AUTORUN.INF.
Lovegate.ad tworzy i uruchamia kopie swoich poprzedników - I-Worm.Lovgate.f oraz I-Worm.Lovgate.x:
%Windir%\suchost.exe
%System%\NetMeeting.exe
%System%\spollsv.exe
Dla kilku kopii robaka tworzone są klucze auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Hardware Profile"="%system%\hxdef.exe"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"WinHelp"="%system%\realsched.exe"
Dodatkowo szkodnik tworzy w rejestrze następujące klucze:
[HKLM\Software\Microsoft\Windows\CurrentVersion\runServices]
"COM++ System"="suchost.exe"
"SystemTra"="%Windir%\SysTra.EXE"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\]
"run"="RAVMOND.exe"
Ponadto robak modyfikuje rejestr systemowy, w wyniku czego jego kopia jest aktywowana podczas otwierania plików tekstowych:
[HKCR\txtfile\shell\open\command]
"default"="Update_OB.exe %1"
Robak automatycznie "odpowiada" na wszystkie wiadomości zapisane w skrzynce odbiorczej programów Microsoft Outlook oraz Outlook Express. Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:
.adb .asp .dbx .htm .php .pl .sht .tbb .wab
W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.
Wiadomości będące odpowiedziami na listy zapisane w skrzynce odbiorczej wyglądają następująco:
Temat: Re: (temat oryginalny)
W treści oryginalnej jest dodatek:
If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. Get your FREE YAHOO.COM Mail now!
Nazwa załącznika jest wybierana z poniższych możliwości:
Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
Wiadomości mogą być tez wysyłane przy użyciu bezpośredniego połączenia z serwerem SMTP odbiorcy. Wyglądają wtedy następująco:
Temat (wybierany z poniższych możliwości):
Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test
Treść (wybierana z poniższych możliwości):
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent
as a binary attachment.
It's the long-awaited film version of the Broadway hit.
The message sent as a binary attachment.
Nazwa załącznika (losowy plik posiadający jedno z poniższych rozszerzeń):
.com .exe .pif .RAR .scr
Szkodnik wykorzystuje do rozprzestrzeniania się lukę w zabezpieczeniach systemów Windows. Więcej informacji na temat tej luki można znaleźć w biuletynie firmy Microsoft - http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx.
Robak podejmuje próby kopiowania się na wszystkie komputery dostępne w sieci lokalnej i usiłuje uzyskać dostęp do konta Administratora generując najbardziej popularne hasła takie jak np: guest, administrator, 111111, itp.
Po nawiązaniu połączenia robak kopiuje się do foldera \admin$\system32\NetManager.exe i uruchamia się jako usługa o nazwie Windows Management NetWork Service Extensions, a ponadto udostępnia w sieci lokalnej folder n:\windows\Media jako zasób \\Media.
Robak umieszcza własne kopie (z poniższymi nazwami) na wszystkich dostępnych zasobach sieciowych:
autoexec.bat
Cain.pif
client.exe
Documents and Settings.txt.exe
findpass.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Support Tools.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR.exe
xcopy.exe
Szkodnik otwiera losowy port TCP i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na uzyskanie pełnego dostępu do zainfekowanego komputera.
Robak zamyka procesy posiadające następujące nazwy:
Duba Gate KAV kill KV McAfee NAV RavMon.exe Rfw.exe rising SkyNet Symantec
Dodatkowo szkodnik nadpisuje własną kopią (podobnie, jak wirusy towarzyszące) wszystkie pliki EXE zapisane na dyskach od C: do Z:.